Workspace Environment Management

Schützen der Citrix Workspace-Umgebungen über die Prozesshierarchiesteuerung

In einer Citrix Workspace-Umgebung werden einige Anwendungen möglicherweise nicht wie vorgesehen gestartet. Diese Situation kann Sicherheitsrisiken bergen, insbesondere wenn leistungsstarke Windows-Tools wie CMD und PowerShell gestartet werden.

Als Administrator möchten Sie Ihre Benutzer möglicherweise darauf beschränken, zugelassene Anwendungen zu starten. Workspace Environment Management (WEM) bietet Ihnen die Funktion zur Steuerung der Prozesshierarchie, mit der verhindert wird, dass Endbenutzer untergeordnete Prozesse starten.

Sie können steuern, ob bestimmte untergeordnete Prozesse von ihren übergeordneten Prozessen in einer Citrix Workspace-Umgebung gestartet werden können. Die Funktion ist in Szenarien nützlich, in denen Sie verhindern möchten, dass unbeabsichtigte Prozesse durch veröffentlichte Anwendungen ausgeführt werden.

Dieser Artikel verwendet CMD als Beispiel. Mit der Prozesshierarchiesteuerung können Sie sich vor Angriffen schützen, die über CMD in einer virtuellen Citrix-App-Umgebung gestartet werden, indem Sie verhindern, dass CMD über die veröffentlichte App gestartet wird. Ein allgemeiner Arbeitsablauf für die Verwendung der Funktion lautet wie folgt:

  1. Prozesshierarchiesteuerung im WEM Agent aktivieren

  2. Regeln zur Steuerung der Prozesshierarchie in der WEM-Konsole

Empfehlung

Wir empfehlen Ihnen, das WEM-Werkzeug VUEMAppCmd zu verwenden, um Anwendungen zu veröffentlichen. Das Tool stellt sicher, dass der WEM Agent die Verarbeitung der Regeln zur Steuerung der Prozesshierarchie beendet, bevor veröffentlichte

Verwenden Sie die Verwaltungsschnittstelle für vollständige Konfiguration, um die Anwendungseinstellungen zu bearbeiten, und fügen Sie dann einen ausführbaren Dateipfad hinzu, der auf VUEMAppCmd.exeverweist. Weitere Informationen finden Sie unter Anwendungen.

Anwendungseinstellungen

Prozesshierarchiesteuerung im WEM Agent aktivieren

Um die Funktion zu aktivieren, verwenden Sie das AppInfoViewer-Tool auf dem Agent-Computer. Das Tool befindet sich im Installationsordner des Agenten. Ein Neustart der Maschine ist erforderlich, nachdem Sie die Funktion aktiviert oder deaktiviert haben.

Anwendungsinfo-Viewer

Regeln zur Steuerung der Prozesshierarchie in der WEM-Konsole

Angenommen, Sie möchten verhindern, dass CMD über Notepad gestartet wird. Führen Sie die folgenden Schritte aus, um Regeln zur Steuerung der Prozesshierarchie

  1. Gehen Sie zu Legacy-Konsole > Sicherheit > Prozesshierarchiesteuerungund wählen Sie Prozesshierarchie aktivieren.

    Steuerung der Prozesshierarchie

  2. Klicken Sie auf Regel hinzufügen, konfigurieren Sie die Einstellungen wie folgt und klicken Sie auf Weiter.

    Hinweis:

    In diesem Beispiel erstellen Sie eine Regel, um zu verhindern, dass CMD über Notepad gestartet wird. Sie können einen der drei Regeltypen (Path, Publisher und Hash) verwenden, um übergeordnete und untergeordnete Prozesse anzugeben. Unter Zuweisungenwählen Sie die Benutzer aus, auf die Sie die Regel anwenden möchten. Weitere Informationen zu den Einstellungen finden Sie unter Steuerung der Prozesshierarchie.

    Regel 1 der Prozesshierarchie

  3. Konfigurieren Sie Notepad als übergeordneten Prozess und klicken Sie auf Weiter.

    Hinweis:

    Die Benutzeroberfläche unterscheidet sich je nachdem, welchen Regeltyp Sie in Schritt 2 ausgewählt haben.

    Regel 2 der Prozesshierarchie

  4. Fügen Sie der Regel nach Bedarf mehrere untergeordnete Prozesse hinzu, und klicken Sie auf Erstellen.

    Regel 3 der Prozesshierarchie

Damit ist das Erstellen der Regel abgeschlossen. Der Agent verhindert, dass CMD über Notepad in der Citrix Workspace-Umgebung gestartet wird.

Schützen der Citrix Workspace-Umgebungen über die Prozesshierarchiesteuerung